Web-Skimmer / E-Skimming
Was ist Web-Skimmer / E-Skimming?
Web-Skimmer / E-SkimmingIn eine Website eingeschleuster Schadcode, der Zahlungs- oder persoenliche Daten stiehlt, waehrend Kunden sie in die Seite eintippen.
Ein Web-Skimmer (auch E-Skimmer oder digitaler Skimmer) ist der JavaScript- oder serverseitige Code, der den Diebstahl bei Magecart-Angriffen ausfuehrt. Er lebt im Checkout-Flow eines Onlineshops und liest Kartennummern, CVVs, Ablaufdaten und persoenliche Daten direkt aus dem DOM oder aus Netzwerkanfragen, bevor er sie an einen Drop-Server exfiltriert. Skimmer kommen ueber CMS-Schwachstellen, kompromittierte Third-Party-Skripte, vergessene S3-Buckets oder gestohlene Admin-Zugaenge ins System. Manche verstecken sich in gefaelschten Favicons oder steganographischen Bildern. Schutz: CSP mit Reporting, Subresource Integrity, das von PCI DSS v4.0 verlangte Skript-Integritaets-Monitoring sowie strenge Rechte auf Script-Tags und Tag-Manager.
● Beispiele
- 01
Ein obfuskiertes Skript in einer Magento-Vorlage erntet CVVs und schickt sie an eine typosquatted CDN-Domain.
- 02
Ein in einem gefaelschten Favicon versteckter Skimmer feuerte nur auf der Checkout-Seite eines Shopify-Shops.
● Häufige Fragen
Was ist Web-Skimmer / E-Skimming?
In eine Website eingeschleuster Schadcode, der Zahlungs- oder persoenliche Daten stiehlt, waehrend Kunden sie in die Seite eintippen. Es gehört zur Kategorie Angriffe und Bedrohungen der Cybersicherheit.
Was bedeutet Web-Skimmer / E-Skimming?
In eine Website eingeschleuster Schadcode, der Zahlungs- oder persoenliche Daten stiehlt, waehrend Kunden sie in die Seite eintippen.
Wie funktioniert Web-Skimmer / E-Skimming?
Ein Web-Skimmer (auch E-Skimmer oder digitaler Skimmer) ist der JavaScript- oder serverseitige Code, der den Diebstahl bei Magecart-Angriffen ausfuehrt. Er lebt im Checkout-Flow eines Onlineshops und liest Kartennummern, CVVs, Ablaufdaten und persoenliche Daten direkt aus dem DOM oder aus Netzwerkanfragen, bevor er sie an einen Drop-Server exfiltriert. Skimmer kommen ueber CMS-Schwachstellen, kompromittierte Third-Party-Skripte, vergessene S3-Buckets oder gestohlene Admin-Zugaenge ins System. Manche verstecken sich in gefaelschten Favicons oder steganographischen Bildern. Schutz: CSP mit Reporting, Subresource Integrity, das von PCI DSS v4.0 verlangte Skript-Integritaets-Monitoring sowie strenge Rechte auf Script-Tags und Tag-Manager.
Wie schützt man sich gegen Web-Skimmer / E-Skimming?
Schutzmaßnahmen gegen Web-Skimmer / E-Skimming kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Web-Skimmer / E-Skimming?
Übliche alternative Bezeichnungen: E-Skimmer, Digitaler Skimmer, JS-Sniffer.
● Verwandte Begriffe
- attacks№ 642
Magecart-Angriff
Kategorie digitaler Skimming-Angriffe, bei denen Kriminelle boesartiges JavaScript in E-Commerce-Checkout-Seiten einschleusen, um Zahlungsdaten waehrend der Eingabe zu stehlen.
- attacks№ 431
Formjacking
Angriff, bei dem boesartiges JavaScript Formularuebermittlungen im Browser des Opfers abfaengt und die eingegebenen Daten an einen Server des Angreifers schickt.
- attacks№ 1116
Supply-Chain-Angriff
Angriff, der einen vertrauenswürdigen Software-, Hardware- oder Dienstleister kompromittiert, um dessen nachgelagerte Kunden zu erreichen.
- attacks№ 240
Cross-Site-Scripting (XSS)
Web-Schwachstelle, mit der Angreifer bösartige Skripte in Seiten injizieren, die andere Nutzer öffnen, sodass der Code im Browser des Opfers unter der Origin der Seite ausgeführt wird.
- identity-access№ 230
Credential Harvesting
Das massenhafte Abgreifen von Benutzernamen, Passwörtern, Tokens und anderen Authentifizierungsgeheimnissen, meist für späteren Kontoübernahme oder Weiterverkauf.
- compliance№ 807
PCI DSS
Weltweiter Sicherheitsstandard für Organisationen, die Zahlungskartendaten speichern, verarbeiten oder übertragen, gepflegt vom PCI Security Standards Council.